Ja, juhu. Nach knapp 5 Jahren World of Warcraft hat es jetzt letztendlich auch mich erwischt.

Gestern nachmittag rief ich meine emails ab und fand eine von Blizzard, in der mir mitgeteilt wurde, dass mein Account aufgrund „illegaler Aktivitäten“ nun permanent gebannt sei. Hö? Illegale Aktivitäten? Ist bestimmt wieder mal so eine ominöse Phishing Mail, mit der man meine Account Daten rausfinden soll…

Mal testen: Spiel gestartet, Daten eingegeben – Der Account ist geschlossen!

Ins TS gehüpft, mal fragen, ob die da was wissen..  Hab ich also von der Mail erzählt.. Reaktion: „Äh ja, dein Account wurde gehackt, nachdem du dich gestern abend ausgeloggt hast. Alle Chars wurden eingeloggt, nackig gemacht und selbst unsere Gildenbank wurde komplett geplündert. X und Y haben versucht „dich“ anzuschreiben, aber keiner deiner Charaktere hat reagiert.. und als die Gildenbank geplündert wurde, haben alle geflucht, Tickets geschrieben und deine Charaktere aus der Gilde geworfen, aber da wars schon zu spät…“

UHM… hmkaaaaaaay.. ich ruf dann mal den Support an…

Kontaktformular war mir zu umständlich, wollte direkt sprechen und nicht erst überlegen, was ich alles ins Kontaktformular eintragen und angeben muss.

Support-Hotline, 0,41 €/min:  Welcome to Blizzard Entertainment.. Press the 1 to contact us in English.. Bienvenu chez Blizzard Entertainment…. Willkommen bei Blizzard Entertainment… Drücken Sie die 3 für deutschsprachigen Kontakt… *klick 3*.. Leider ist unsere Hotline derzeit völlig ausgelastet, bitte rufen Sie zu einem späteren Zeitpunkt wieder an.

10 min später. Welcome to B.. *klick 3*.. Bitte legen Sie nicht auf, sobald ein Platz frei ist werden Sie mit einem Mitarbeiter verbunden.. die voraussichtliche Wartezeit beträgt derzeit 10 bis 15 Minuten.. bitte warten Sie…
weitere 15 Minuten später: “ Guten Tag, mein Name ist.. “ *hochschreck* Oh, da ist tatsächlich jemand.

„Hallo, ich hab ein Riesenproblem….“

Nachdem ich mein Problem geschildert hab, schaute der Mitarbeiter vom TechSupport in die Logdateien: „Ja, von Ihrem Account wurden mehrere hohe Goldbeträge mit der (ingame)Post verschickt. Ihre Charaktere stehen jetzt alle ohne Ausrüstung rum, zum Beispiel Ihre Druidin Tenya hat jetzt noch 72 Silber in der Tasche..“ (OMG, die hatte doch ~23000 Gold und ich hab sie vor meinem letzten Ausloggen gerade mit neuem Equip versehen..)
„Ich geh mal davon aus, dass Sie das alles nicht gemacht haben und entsperre jetzt als Erstes Ihren Account und setze das Passwort zurück. Die Mail dürften Sie …. JETZT in Ihrem Postfach haben“

„Tatsache… Mail ist da. “

„Sämtliche Items und Gold werden zurückerstattet..“ – „Auch die Gildenbank?“ – „Auch die Gildenbank. Das Ganze kann aber 4 bis 5 Tage dauern, weil wir momentan soviel zu tun haben.. Sie kriegen die Sachen dann per (ingame)Post zurück.. Da werden Ihre Briefkasten aber ganz schön voll sein..“

„Himmel hilf… da sitz ich dann tagelang ingame vorm Briefkasten und darf alles einzeln entnehmen und sortieren?“ – „Ja, das geht leider nicht anders.“

Wer sich ein Bild von dem Aufwand machen möchte.. pro Server sind 10 Charaktere erlaubt, auf meinem Hauptserver ist alles voll und auch meine alten Server sind voll. Charkterlimit von 50 ausgeschöpft. Alles geplündert. Jeder Charakter besitzt bis zu 19 Ausrüstungsslots, welche teilweise doppelt belegt sind abhängig von der Skillung. Dazu kommen pro Charakter.. äh rund 60? Inventarplätze und noch mehr Bankplätze (eigene Bank, die Gildenbank ist noch mal was anderes). Und in 5 Jahren sammelt sich verdammt viel an…

„Desweiteren schicke ich Ihnen noch eine Mail, in der steht, wie Sie Ihren Rechner auf Sicherheitslücken prüfen. Da arbeiten Sie sich bitte durch, denn die Ursache wird vermutlich ein Keylogger sein – das ist so, als stände der Hacker hinter Ihnen, wenn Sie Ihre Daten eingeben… Erst wenn Sie das abgearbeitet haben, ändern Sie bitte nochmal das Passwort zu Ihrem BattleNet Account und loggen sich dann erst ein..“ – „Ooookaaaay…“

So, den restlichen Nachmittag bis tief in die Nacht haben ich zum Einen die Liste abgearbeitet – keine verdächtigen Befunde. Zum Anderen hab ich zusätzlich noch diverse Scan-Tools laufen lassen (Komplettscans dauern irgendwie wenigstens eine Stunde, hab ich feststellen müssen – abhängig vom Scanner natürlich).

Die to-do-Liste von Blizzard:

• Systemwiederherstellung für alle Platten & Partitionen ausschalten
• Scannen mit Sophos Anti Rootkit
• Scannen mit a squared
• Addons löschen inkl WTF, CACHE und INTERFACE Ordner
  Neueste Updates installieren (Windows, Adobe Flash Player, Acrobat Reader, Shockwave, Java)
• Passwörter ändern (<- erst, wenn ich was gefunden und eliminiert hab)
• Firewall & Antivirensoftware selbstredend

Zusätzlich gemacht:

• Trendmicro HouseCall
• Kaspersky Online Scan
• AdAware
• HiJackThis
• Malwarebytes
• dds.scr
• und Secunia.com: vulnerability scan

.. und ich hab nicht nur einen Scan pro Scanner durchgeführt. Gegooglet, Foren gelesen, gestöbert nach ähnlichen Fällen.. Fazit: Viele Accounts sind nach Umstellung des WoW-Account aufs BattleNet gehackt worden. Bei vielen fand sich eine ominöse xml_***.dll im /system32-Ordner. Bei vielen fand sich nichts. Egal mit welchen Scanner gesucht wurde.

Soll ich jetzt aus dem Verdacht heraus mein System (mal wieder) komplett neu aufsetzen, nachdem ich das ja gerade erst getan hab vor knapp 3 Monaten und danach volle zwei Monate gebraucht hab, um mein Bluescreen-Problem in den Griff zu kriegen?

Hab ich jetzt einen Keylogger unsichtbar im System oder ist die Sicherheitslücke gar nicht bei mir? Sind andere Passwörter (Onlinebanking!!!, Foren, Arbeit!!!) nun auch gefährdet?

Um es milde auszudrücken: Ich bin genervt!